Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsVLC Media Player: Sicherheitslücke betrifft nur veraltete Versionen
Wahrscheinlich nicht, aber wenn du dir die Entwicklung ansiehst ist offensichtlich das solche kritischen Lücken dort nicht für Wochen ungefixt bleiben würden. Auch allgemein kommt mir VLC sehr archaisch und komplex im Vergleich vor und es würde mich nicht wundern wenn da noch mehr gefunden wird.
Ich hatte nun gestern den fortgeführten MPC von https://github.com/clsid2/mpc-hc/releases ausprobiert. Leider ist dieser (für mich - betone ich) unbrauchbar da eine schnellere Wiedergabe des Videos die Audiospur in eine Mickey-Mouse Stimme verzerrt.
Unter https://mpv.io/installation/ ... was lädt man da denn herunter? Für Windows gibt es dort, wenn ich es recht sehe, 2 verschiedene Entwicklungen?
Windows builds by lachs0r
Windows builds by shinchiro
Und was nimmt man da am besten? Unterschiede?
Wie gesagt bin ich mit dem VLC eigentlich sehr zufrieden. Nur hat dieser manchmal ein Problem mit 4k Videos (bei mir) welche vom MPC/SMPlayer ohne Probleme abgespielt werden und (was mich mehr anfrisst - wegen älteren DVDs) ist seit dem Update auf Version 3.0 der Schärfe-Filter (bei mir) nicht mehr zu gebrauchen im VLC.
lachs0r builds sind recht alt, aber "stabil" (ich benutze seit anfangstagen immer die aktuelle Entwicklerversion ohne Stabilitätsprobleme, also ist das kein tolles Argument).
Die builds von shinchiro sind nah am aktuellen Entwicklungsstand.
Und weil du so ordentlich recherchiert hast, sah sich offenbar die Chefredaktion am Samstag dazu veranlasst, ein Update mit der wichtigen Info nachzuliefern.
Ich weiß nicht von welchem Update du sprichst, aber der Artikel hat exakt zwei Updates und die stammen nicht von einem der Chefredakteure sondern von mir und waren zudem bereits vorher in diesem Thread von mir angekündigt.
Sweepi schrieb:
laut bugreport geht es um einen "heap-buffer-overflow" in "demux.cpp when called from mkv::Open".
Also muss der User eine manipulierte Datei abspielen, um betroffen zu sein.
Ich habe jedes der Updates hier aus eigenem Antrieb gemacht und wurde von keinem Chefredakteur dazu aufgefordert. Die Aussage temporär auf einen anderen Media Player zu wechseln steht ebenfalls unverändert in der News, daher weiß ich beim besten Willen nicht wovon du sprichst.
Dennoch danke für dein Feedback, auch wenn ich deine Auffassung nicht teilen kann.
@RYZ3N
Weißt du was ich nicht verstehe? Warum hast du dich die ganze Zeit gegen diese Info gewehrt und verzweifelt verteidigt sie bewusst nicht angegeben zu haben?
Meine Frage war:
Zero_Point schrieb:
Und warum lässt du den Leser das nicht selbst einordnen und enthältst ihm eine extrem wichtige Info? Heise hat das gemacht.
Wie Heise schon schreibt: Dies legt die Vermutung nahe, dass zum Ausnutzen der Sicherheitslücke eine präparierte Videodatei abgespielt werden muss...
Ich habe mich an die Fakten gehalten, an das was BSI, CERT & Co. an Fakten liefern. An „...dies legt die Vermutung nahe“ beteilige ich mich nicht. Ganz einfach.
Wie gesagt bin ich mit dem VLC eigentlich sehr zufrieden. Nur hat dieser manchmal ein Problem mit 4k Videos (bei mir) welche vom MPC/SMPlayer ohne Probleme abgespielt werden und (was mich mehr anfrisst - wegen älteren DVDs) ist seit dem Update auf Version 3.0 der Schärfe-Filter (bei mir) nicht mehr zu gebrauchen im VLC.
Habe sehr wahrscheinlich dasselbe Problem mit dem VLC Player wie du, deshalb hab ich alternativ den CyberLink PowerDVD 19 Ultra Player installiert, der wiederrum spielt jegliches 4K-Video in bester Qualität ab.
Der Schärfe-Filter, beim VLC Player, funktioniert jedoch noch tadellos bei mir, ausgenommen bei saugroßen 4K-Videos (ruckelt), und das trotz i7-8850H.
Media Player Classis verwende ich zwar auch, jedoch wird bei besagtem Player das Bild, im Gegensatz zu VLC Player / CyberLink PowerDVD, unscharf dargestellt.
Ich habe nicht alle 14 Seiten gelesen, allerdings will ich hier nur kurz etwas einwerfen:
Es wurde hier oft ohne weitere Erläuterung "Media Player Classic" als Alternative empfohlen. Man sollte dabei aber auch explizit den gemeinten Fork erwähnen, denn
Media Player Classic (das "Original") => seit 11 Jahren keine Updates (EOL)
MPC-HC => seit 2 Jahren keine Updates (vermutlich EOL)
MPC-BE => letztes Update April 2019, daher der aktuell einzige, mir bekannte, MPC-Fork, der gepflegt wird
kA, ob es noch andere aktive Forks gibt, aber aufgrund eines Bugs im sehr gut gepflegtem VLC einen Player zu empfehlen, der nicht mehr aktiv entwickelt wird (oder nur noch eher weniger verbreitete Forks), halte ich nicht wirklich für eine gute Idee...
Forks sind die natürliche Weiterentwicklung von aufgegebener OpenSource Software. Und ja MPC-HC wird (seit der ursprüngliche Entwickler aufgehört hat) weiter entwickelt. Natürlich als Fork falls der ursprüngliche Entwickler sich entscheiden sollte weiter zu machen. (In dem Fall kann übrigens der Fork in das ursprüngliche Projekt integriert werden!) Ich habe es Seiten zuvor bereits geschrieben:
Gamefaq schrieb:
Doch ein anderer Entwickler namens clsid2 hat schon vor geraumer Zeit das Projekt "inoffiziell" übernommen weil der Original Entwickler nichts mehr macht. Inoffiziell deswegen weil er einen sogenannten Fork erstellt hat. Sprich es basiert auf der letzten offiziellen v1.7.13 und ist mittlerweile bei v1.8.7 angekommen. Das letzte Update ist 3 Tage alt. Download hier.
Ich würde Computerbase empfehlen das in seine Download Datenbank zu übernehmen da es gegenüber dem alten mpc-hc weiterhin gepflegt wird. (Stichwort: Sicherheit...)
Ich lese immer auf dubiose Quellen verzichten..... Das funktioniert so nicht, jegliche Quelle wenn es nicht die eigene erstellte Datei ist kann kompromitiert sein, jegliche files die man von Freunden, Verwandten, nahen Bekannten bekommt bzw vermeintlich sicheren Quellen können durchaus verseucht sein.... Das einzig 100%sichere sind eigene erstellte Dateien
Media Player Classis verwende ich zwar auch, jedoch wird bei besagtem Player das Bild, im Gegensatz zu VLC Player / CyberLink PowerDVD, unscharf dargestellt.
Unter https://mpv.io/installation/ ... was lädt man da denn herunter? Für Windows gibt es dort, wenn ich es recht sehe, 2 verschiedene Entwicklungen?
Windows builds by lachs0r
Windows builds by shinchiro
Und was nimmt man da am besten? Unterschiede?
Ich nutze die stable Builds von lachs0r. Ist aber für normale User sicherlich nicht so einfach zu installieren (Batchdatei für Datei-Verknüpfung muss man selber laden und ausführen). Die anderen builds sind nur eben neuer, weil vom aktuellen Source Code immer erstellt, aber genauso zu installieren wie die lachs0r builds (runterladen und ausführen, Datei-Verknüpfungen halt wieder über die besagte Batchdatei.). Quasi "nightly" builds. Die builds von lachs0r werden halt nur aktualisiert, wenn es von mpv auch ein neues "release" auf deren Github Seite gibt (dort ist die letzte Version 0.29.x von Oktober 2018 und die hat lachs0r als letztes aktualsiert. Lachs0r scheint die auch erst wieder zu aktualisieren, wenn es auf Github einen neuen Release (0.29.y oder 0.30.z) gibt.
Aber nutzt den mpv ja quasi schon. Der SMPlayer baut auf dem mpv auf (bringt den sogar mit). Da brauchst du dann nicht unbedingt auf den reinen mpv wechseln.
Forks sind die natürliche Weiterentwicklung von aufgegebener OpenSource Software. Und ja MPC-HC wird (seit der ursprüngliche Entwickler aufgehört hat) weiter entwickelt. Natürlich als Fork falls der ursprüngliche Entwickler sich entscheiden sollte weiter zu machen. (In dem Fall kann übrigens der Fork in das ursprüngliche Projekt integriert werden!) Ich habe es Seiten zuvor bereits geschrieben:
Es geht aber darum, dass hier von vielen ohne weitere Informationen "MPC" als Alternative genannt wurde - und wenn man dann unbedarft danach googled, landet man auf den offiziellen Seiten der längst verwaisten Projekte. Da hilft irgendein aktueller Fork irgendwo auf der Welt halt auch nur wenig, wenn er nirgends wirklich Erwähnung findet.
Mhh kontroliere mal in den MPC-HC Einstellungen welche Auflösung da bei den jeweiligem Monitoren vom MPC-HC ausgegeben wird. Eine unschärfe ist mir noch nie aufgefallen und ich encodire alle meine Filme hier für meine Heimkino Sammlung selbst und bearbeite sie dann mit MKVToolNix nach und kontroliere das Ergebnis hier am PC über MPC-HC. Egal ob Original oder Kopie wiedergegeben wird. Es ist immer scharf. Ich denke da beißt sich etwas wegen den drei angeschlossenen Monitoren.
Ergänzung ()
erazzed schrieb:
Es geht aber darum, dass hier von vielen ohne weitere Informationen "MPC" als Alternative genannt wurde - und wenn man dann unbedarft danach googled, landet man auf den offiziellen Seiten der längst verwaisten Projekte. Da hilft irgendein aktueller Fork irgendwo auf der Welt halt auch nur wenig, wenn er nirgends wirklich Erwähnung findet.
Deswegen hab ich geschrieben das Computerbase das in sein DL Archiv mit dem Verweis auf das veralte Original nehmen sollte. Nur leider passiert das warum auch immer nicht. Hatte gedacht das der TE = @RYZ3N das an den zuständigen für den Download Bereich weiterleitet. Immerhin geht es ja genau in dieser News um Sicherheit und CB hat in seinem DL Bereich noch die Jahre alte MPC-HC Version.
Artikel-Update:Noch immer kein Update in Sicht
Obgleich das Ticket im VLC-Bugtracker nunmehr seit vier Wochen existiert, wurde der „Work status“ nun auf „Not started“ geändert. Laut Report wird noch immer mit Priorität an dem kritischen Problem gearbeitet, ein Update ist aber nach wie vor nicht in Sicht. Anwendern sei daher weiterhin der temporäre Umstieg auf einen anderen Media Player empfohlen.
Um Himmels Willen, da biegen sich mir die Fußnägel bis zum Haaransatz! Und der ist mittlerweile echt weit zurückgegangen!
Wieso zum Geier baut da niemand einfach nen verflixten SCHALTER ein, der die Remote-Funktion, die dieses Problem hervorrufen kann, deaktiviert (werksseitig) und beim manuellen Aktivieren durch den Benutzer gibt es einen großen, fetten, rot-gelb-grün-blau-blinkenden Text, der dem Benutzer noch so deutlich mitteilt, was er da gerade aktiviert?!
Ich bin kein Crack im Programmieren, aber da es sich hier um Open Source handelt, bekomm' sogar ich Trollo das nach kurzer Einarbeitung hin! Das kann doch nicht allen Ernstes wahr sein.
Ergänzung ()
Zero_Point schrieb:
@RYZ3N
Am nächsten Tag wurde die Info ergänzt. Solltest dich mal für eine Variante entscheiden.
Er hat die Variante dann ergänzt, weil es zu diesem Zeitpunkt offiziell ersichtlich, bzw. nachrecherchiert wurde.
Ich verstehe nicht, warum ihr nun so explizit auf @RYZ3N rumhackt. Allein die Tatsache, dass er diese VLC-News hier generell gepostet hat, sollte ihm schon gedankt werden. Gewehrt hat er sich auch nicht, nur seinen Standpunkt vertreten, dass keine Mutmaßungen in News aufgenommen werden sollten - sonst driften wir hier ganz schnell in Sensationsnews ab, das will gewiss niemand. On top hat Sven bewiesen, dass er durchaus korrigiert bzw. ergänzt, wenn die entsprechenden Informationen vorliegen, sonst hätten wir jetzt nicht die bereits zweite Ergänzung zur News.
Da muss ich dir leider widersprechen. Die Datei ist im Bugtracker bereits seit 4 Wochen angehängt und Heise hat bereits am Freitag darauf hingewiesen. Es war also nicht erst am Sonntag ersichtlich oder konnte erst dann recherchiert werden.
DJMadMax schrieb:
Gewehrt hat er sich auch nicht, nur seinen Standpunkt vertreten, dass keine Mutmaßungen in News aufgenommen werden sollten - sonst driften wir hier ganz schnell in Sensationsnews ab, das will gewiss niemand.
Genau diese Sensationsnews hatten wir doch: man sollte unbedingt vom VLC auf eine Alternative wechseln, das war die ursprüngliche Aussage. Sensationsnews at it's best. Erst später kam die wichtige Info, dass offensichtlich eine manipulierte Datei abgespielt werden muss um die Lücke auszunutzen. Das macht v.a. für die Privatanwender (die Zielgruppe von CB, kein seriöser Admin hat CB als Quelle) einen riesigen Unterschied ggü. der Suggerierung, dass man durch abspielen jeglicher Datei oder dem bloßen Öffnen von VLC einer schweren Lücke ausgesetzt ist.
Ich wiederhole mich, aber der Leser muss die Chance bekommen, die Gefahr anhand aller bekannten Infos selbst einzuschätzen und sollte nicht dazu getrieben werden panisch sich die erstbeste Alternative runterzuladen. Man sieht ja wo das hinführt: anstatt der Lücke laden sich einige Adware & Co runter. Von der Sicherheit der Alternativen ganz zu schweigen (siehe auch die alte Version von MPC HC hier im Downloadarchiv). Genau deshalb muss sich ein Redakteur sorgfältig mit dem Thema auseinander setzen. Besonders dann, wenn er ohnehin schon einen Tag zu spät dran ist.
Heise hat den Fehler anfangs auch gemacht, aber die waren immerhin - sofern mir bekannt, jedenfalls habe ich dort davon erfahren - die Ersten mit der Meldung haben zeitnah reagiert.
DJMadMax schrieb:
On top hat Sven bewiesen, dass er durchaus korrigiert bzw. ergänzt, wenn die entsprechenden Informationen vorliegen, sonst hätten wir jetzt nicht die bereits zweite Ergänzung zur News.
Er hat im Thread bewiesen, dass er beratungsresistent ist. Warum verteidigt er sein Vorgehen derart vehement, wenn er sich doch offenkundig nicht gerade mit Ruhm bekleckert hat, anstatt zuzugeben, dass seine Recherche äußert lückenhaft und teils nicht belegt war/ist?
Im Update hätte man gern auch den Grund für die Änderung erwähnen können, nämlich:
"Sorry, but this bug is not reproducible and does not crash VLC at all. "